ビジネス課題への解決策(アイディア)と、新たな発想(+α)が見つかるIT情報メディア

Menu
  1. TOP
  2. システム運用
  3. ゼロトラストとは?~すべてを疑う新しいセキュリティコンセプト~

ゼロトラストとは?~すべてを疑う新しいセキュリティコンセプト~

  • LINEで送る
  • このエントリーをはてなブックマークに追加

ゼロトラスト(Zero Trust)とは、すべてのユーザーのアクセスを信用せず、文字通り「すべてを疑う」セキュリティコンセプトです。

「働き方改革にともなうテレワークの普及」「業務システムのクラウドシフト」など、企業を取り巻くビジネス環境は激変しました。企業の情報資産を守るための情報セキュリティの考え方も、大きな変化を迫られています。この記事では、クラウドシフトやテレワーク対応に欠かせない「ゼロトラスト」の考え方について、わかりやすく解説します。

「いつでもどこでも仕事ができる」時代のセキュリティリスク

新型コロナウイルスの影響を受け、テレワークが普及したことで、「いつでもどこでも仕事ができる」時代が到来しました。しかし、従業員がオフィスに集まらず分散して仕事をするようになった結果、従来のセキュリティの考え方が通用しなくなっています。従来のセキュリティは、「境界型防御モデル」と呼ばれています。境界型防御モデルとは、ネットワークの内と外を区別し、その境界点をファイアウォールなどで防御して、不正アクセスや情報漏えいを防ぐ考え方です。しかし、テレワークによりオフィス以外で働く社員が急増した結果、ネットワークの内と外の境界が曖昧になりました。業務システムがクラウド化され、オフィス以外から容易にアクセスできる企業も多く、「ネットワークの境界点が多すぎて、セキュリティ対策が追いつかない」状態です。そこで、ネットワークの内と外という基準ではなく、すべてのアクセスの認証認可を行う「ゼロトラスト」という考え方が生まれました。ゼロトラストの考え方に基づくネットワークを、「ゼロトラストネットワーク(ZTN)」といいます。

ゼロトラストネットワークの特徴 「すべてを疑う」セキュリティコンセプト

ゼロトラストネットワークの特徴は、次の4点です。

  • ネットワークの内と外という基準をつくらない
  • 業務システムへのアクセスを最小限に絞る
  • すべてのアクセスを信用せず、そのつど認証認可を行う
  • すべてのログを常時モニタリングし、自動的に異常検知する

ゼロトラストネットワークでは、オフィスからのアクセスであれ、自宅からのアクセスであれ、すべてのアクセスを信頼しません。業務システムへのアクセスをあらかじめ制限しつつ、すべてのアクセスの認証認可をそのつど行います。そのため、攻撃者が身動きを取りにくく、強固なセキュリティが実現可能です。ゼロトラストは、ネットワークの境界が曖昧化し、「いつでもどこでも仕事ができる」時代に最適なセキュリティコンセプトです。ゼロトラストは、2010年にアメリカの調査会社が考案して以来、大きな注目を集めています。

ゼロトラストネットワークの3つのメリット

ゼロトラストネットワークには3つのメリットがあります。

内外のセキュリティリスクに強くなる

ゼロトラストネットワークでは、すべてのアクセスを疑い、認証認可を行います。例えば、ファイルサーバーの資料にアクセスする場合、まず認証によって適切なユーザーかどうかを確認し、アクセスの許可や権限の制限を行います。

従来の境界型防御モデルには、仮想プライベートネットワーク(VPN)や仮想デスクトップ(VDI)で多層防御を行っていても、一度境界点を突破されたら攻撃者のやりたい放題という弱みがあります。しかし、ゼロトラストネットワークなら、そのつどアクセスの信頼度をスコア化し認証認可を行うため、攻撃者は自由に動けません。テレワークが普及し、ネットワークの境界点が曖昧化する今、内外のセキュリティリスクに強いゼロトラストの導入が必要です。

クラウドシフトを進められる

クラウドシフトを進めたいが、セキュリティリスクが気になる方も多いでしょう。特に、どこからでもアクセス可能な「パブリッククラウド」を利用すると、侵入経路が増加し、より強固なセキュリティ対策が必要になります。しかし、ネットワークの侵入経路に関係なく、すべてのアクセスの認証認可を行うゼロトラストなら、クラウドシフトにともなうセキュリティリスクを解決できます。

テレワークに対応できる

新型コロナウイルス対策の一環として、テレワークを導入する企業が急増しました。東京都の調べによると、緊急事態宣言の発令もあり、都内企業(従業員30人以上)のテレワーク導入率は57.1%に達しています。[注1]テレワーク環境のセキュリティに最適なのが、ネットワークの内と外を問わないゼロトラストネットワークです。今後もテレワーク環境が続くことを視野に入れると、従来の境界型防御モデルからゼロトラストへの移行は必要不可欠です。

ゼロトラストを取り入れるための3つのポイント

ゼロトラストに移行するうえで、重要なポイントが3つあります。

常に認証認可を行う

すべてのアクセスを疑い、たとえ社員のアクセスであっても、常に認証認可を行うのが、ゼロトラストの基本的な考え方です。そのためのセキュリティツールとして、多くの企業が「IAM(Identity and Access Management)」を採用しています。IAMとは、従来のユーザー認証に加えて、デバイスの状態や位置情報、使用中のアプリケーションなども総合的に分析し、適切なユーザーの認証認可を行うツールです。また、複数のクラウドサービスを利用している場合は、サービスを横断してユーザー認証を行える「IDaaS(Identity as a Service)」も使われています。

アクセスをなるべく最小限にする

膨大なアクセスの1つひとつに認証認可を求めると、セキュリティコストが増大します。そこで、ゼロトラストへ移行するときは、「SSO(Single Sign On)」を使い、あらかじめ業務システムへの入り口を絞り込むのが一般的です。SSOとは、専用のポータルに本人確認用の認証情報を登録し、ポータルを通じて全システムにアクセスできる仕組みです。ポータルを経由したアクセスのみを監視すればよいため、情報セキュリティにかかる負担も軽減します。

常時モニタリングを行う

ゼロトラストネットワークでは、アクセスの認証認可を行うだけでなく、アクセスログの異常検知を行います。エンドポイント(端末)に「EDR(Endpoint Detection and Response)」を導入し、常時モニタリングを行いましょう。また、エンドポイントをマルウェアから守る「EPP(Endpoint Protection Platform)」もセットで導入すれば、さらにセキュリティ効果が高まります。

ゼロトラストの仕組みを理解し、セキュリティの改善を

従来の「境界型防御モデル」では、大切な情報資産を守りきれなくなっています。そこで、すべてのアクセスを疑い、認証認可を行う「ゼロトラスト」の考え方を取り入れましょう。ゼロトラストのポイントは、以下の3点です。

  • 常に認証認可を行う
  • アクセスをなるべく最小限にする
  • 常時モニタリングを行う

ゼロトラストに移行することで、内外のセキュリティリスクに強くなり、クラウドシフトやテレワークへの対応も進みます。


[注1] 東京都:テレワーク導入率調査結果をお知らせします!(第1501報)
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/01/22/17.html

新里 亮太

執筆者情報:

新里 亮太(しんざと りょうた)

株式会社ユニリタ クラウドビジネス事業本部
ITマネジメントイノベーション部 プロモーションフォースグループ リーダ
兼 DXアクセラレーション部

働き方改革基盤「Digital Workforce」のセールス・プロモーション活動で培った経験をもとに、企業の生産性向上・セキュリティ対策について情報発信しています。

登壇実績
・日経産業新聞フォーラム
「デジタルワークプレイスで実現する生産性と従業員満足度の向上」

メールマガジンの登録はこちらから
メルマガ登録 お問い合わせ